Durant Les Assises de la Sécurité 2024 à Monaco, une des sessions les plus intéressantes sur le DevSecOps fut celle de Veracode avec le témoignage concret d'Engie. Le contexte applicatif d’envie est à la hauteur des métiers du fournisseur énergétique : un backend comprenant plus de 450 référentiels d’application, de multiples frontends, +10 langages et plateformes (Java, Non, Python, Ruby, Flutter, PHP, etc.), 2 IDE principaux (IntelliJ de JetBrains et Visual Studio Code). 

Dès 2016, les équipes optent pour les pratiques agiles avec 3 axes : l’agile team, DevOps et l’agile release train. Le train agile est un framework permettant d’avoir des objectifs communs pour toutes les équipes. 

Pourquoi le DevSecOps : l’enjeu est d’avoir une vue précise sur la qualité du code et donc la sécurité applicative (AppSec). Un vaste chantier est mené de 2018 à 2022 :

- migrer 90 % des assets IT / applications sur le cloud (AWS)

- 80 % des apps sont en conteneurs déployés en CI/CD.

En 2022, un audit complet est réalisé par mieux connaître le niveau de qualité et de sécurité en utilisant le DevSecOps Maturity Model de l’OWASP. Résultat : l’effet sapin de Noël. C’est-à-dire du rouge partout ! Les besoins des équipes étaient nombreux :

- gérer l’obsolescence

- gérer les patchs et mises à jour

- revoir les process des projets et des applications

En 2023, les scanneurs Veracode sont déployés :

- améliorer le DevSecOps Maturité

- mieux maîtriser les composants applicatifs

En octobre 2024, un bilan a pu être réalisé :

- 180 personnes concernées

- 35 équipes ciblées

- 350 apps scannées

- 9 langages différents

- 1 500 scans par mois sont réalisés

- 20 000 problèmes détectés !

Faire un scan pour du scan de code / application n’a pas de sens. Pour Engie, il s’agissait de pouvoir :

- détecter la présence de secrets dans les codes

- vérifier les vulnérabilités du code

- maîtriser la configuration des conteneurs

- contrôler l’IaC (Terraform)

Mais Engie ne possède pas de compétences DevSecOps. C’est aussi pour cela que Veracode fut choisi car l’éditeur possédait des équipes dédiées pour aider les entreprises. Plusieurs solutions furent testées. VeraCode avait aussi un autre avantage : moins de faux positifs. Le faux positif est une véritable plaie pour les équipes car elles perdent du temps sur des problèmes / vulnérabilités qui n’existent pas. L’autre avantage : intégration des IntelliJ. 

L’avantage était de disposer d’une solution intégrée évitant de déployer plusieurs outils. Cette intégration était importante pour favoriser l’adoption par les développeurs. La sensibilité des dévs à la sécurité est un autre défi à ne pas négliger.

La montée en compétences n’est pas encore faite mais des « security champions » sont identifiés pour aider les autres dévs et animer la communauté. Ensuite le principe du licence to code a été mis en place : les nouveaux dévs accèdent aux codes après avoir passé des certifications.